目录
反射型
Ma Spaghet!
Jefff
Ugandan Knuckles
onfocus
Ricardo Milos
Ah That's Hawt
location
Ligma
Mafia
构造函数
dom破坏
Ok, Boomer
反射型
Ma Spaghet!
javascript"><!-- Challenge -->
<h2 id="spaghet"></h2>
<script>spaghet.innerHTML = (new URL(location).searchParams.get('somebody') || "Somebody") + " Toucha Ma Spaghet!"
</script>分析代码:将get传参somebody直接放在h2标签中
尝试传入script语句
没有触发
这里使用的是innerHTML函数,查询得知该函数不会执行<script>标签
但这里仅仅是不执行<script>标签,可以使用<img>
搞定
Jefff
javascript"><!-- Challenge -->
<h2 id="maname"></h2>
<script>let jeff = (new URL(location).searchParams.get('jeff') || "JEFFF")let ma = ""eval(`ma = "Ma name ${jeff}"`)setTimeout(_ => {maname.innerText = ma}, 1000)
</script>分析代码:get传参,与字符串拼接后放在h2标签
这里有双引号限制,可通过闭合双引号来逃逸双引号
成功
Ugandan Knuckles
javascript"><!-- Challenge -->
<div id="uganda"></div>
<script>let wey = (new URL(location).searchParams.get('wey') || "do you know da wey?");wey = wey.replace(/[<>]/g, '')uganda.innerHTML = `<input type="text" placeholder="${wey}" class="form-control">`
</script>分析代码:get传参,放入<input>标签 ,但这里过滤了<和>
不过这里依然可以用闭合双引号的方式,增加一个点击事件
不过这种方式需要手动点击输入框才可以触发
onfocus
input标签自带一个焦点属性,按tab键可以切换焦点,当焦点在input标签时触发
不过这种方式依然需要手动触发,但input还要自动聚焦autofocus
自动触发
Ricardo Milos
javascript"><!-- Challenge -->
<form id="ricardo" method="GET"><input name="milos" type="text" class="form-control" placeholder="True" value="True">
</form>
<script>ricardo.action = (new URL(location).searchParams.get('ricardo') || '#')setTimeout(_ => {ricardo.submit()}, 2000)
</script>分析代码:get传参,默认为#,两秒后进行form表单提交
form表单的action是支持javascript:伪协议的
成功
Ah That's Hawt
javascript"><!-- Challenge -->
<h2 id="will"></h2>
<script>smith = (new URL(location).searchParams.get('markassbrownlee') || "Ah That's Hawt")smith = smith.replace(/[\(\`\)\\]/g, '')will.innerHTML = smith
</script>分析代码:get传参放入h2标签,不过过滤了括号,反引号和转义字符
尝试编码%来绕过
失败了
因为alert是js中的函数,而js不能对符号编码,所以失败
location
这里使用location属性,经查询,location会将后面的值当作字符串
将alert转为字符串后,再编码符号
成功
Ligma
javascript">/* Challenge */
balls = (new URL(location).searchParams.get('balls') || "Ninja has Ligma")
balls = balls.replace(/[A-Za-z0-9]/g, '')
eval(balls)这里过滤了字母和数字
使用编码的方式
成功
Mafia
javascript">/* Challenge */
mafia = (new URL(location).searchParams.get('mafia') || '1+1')
mafia = mafia.slice(0, 50)
mafia = mafia.replace(/[\`\'\"\+\-\!\\\[\]]/gi, '_')
mafia = mafia.replace(/alert/g, '_')
eval(mafia)过滤了alert,不过prompt、confirm也能实现弹窗
构造函数
Function 构造函数创建一个新的 Function 对象。直接调用此构造函数可用动态创建函数
Function(/ALERT(1337)/.source.toLowerCase())()
将ALERT转小写后执行
dom破坏
Ok, Boomer
javascript"><!-- Challenge -->
<h2 id="boomer">Ok, Boomer.</h2>
<script>boomer.innerHTML = DOMPurify.sanitize(new URL(location).searchParams.get('boomer') || "Ok, Boomer")setTimeout(ok, 2000)
</script>分析代码:两秒后执行ok,不过奇怪的是这里并没有定义
Dom Clobbering 就是⼀种将 HTML 代码注⼊⻚⾯中以操纵 DOM 并最终更改⻚⾯上 JavaScript ⾏为的 技术。
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Document</title>
</head>
<body><a id="test1" href="aaaaaaaa"></a>
</body>
<script>alert(test1)
</script>
</html>
可以发现herf中的值会当作字符串展示,而setTimeout能够执行字符串
payload=<a id="ok" href="javascript:alert(1)">
没有绕过前端框架
使用了白名单
将javascript换掉
成功
